Глава 2. Меры по защите информации при осуществлении переводов денежных средств в платежной системе Банка России
Глава 2. Меры по защите информации при осуществлении
переводов денежных средств в платежной системе Банка России
2.1. Клиент при обмене ЭС обеспечивает выполнение следующих требований.
2.1.1. Клиент должен размещать объекты информационной инфраструктуры, используемые при обмене ЭС, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Размещение в сегментах (группах сегментов) вычислительных сетей, в которых расположены объекты информационной инфраструктуры, используемые при обмене ЭС, иных объектов информационной инфраструктуры не допускается.
АРМ обмена должен быть реализован в выделенном (отдельном) сегменте (группах сегментов) вычислительных сетей с использованием отдельного рабочего места.
Контур формирования ЭС и контур контроля реквизитов ЭС в информационной инфраструктуре Клиента должны быть реализованы с привлечением отдельных работников для выполнения функций операторов, администраторов и администраторов информационной безопасности в каждом из контуров. <20>
--------------------------------
<20> Абзац третий подпункта 2.1.1 пункта 2.1 настоящих Условий для клиентов полевых учреждений Банка России, которые не подключены к Транспортному шлюзу Банка России для обмена платежными и финансовыми сообщениями с Клиентами Банка России (ТШ КБР), и/или Клиентов Банка России, не являющихся кредитными организациями, вступает в силу с 01.01.2025.
Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Клиент должен применять меры защиты информации, реализующие минимальный уровень (уровень 3) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта Российской Федерации" (далее - ГОСТ Р 57580.1-2017).
2.1.2. Документы Клиента, определяющие порядок обеспечения защиты информации при обмене ЭС (далее - документы), должны определять состав и порядок применения организационных мер защиты информации, состав и порядок использования технических средств защиты информации.
Документы должны приниматься в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017:
обеспечение защиты информации при управлении доступом;
обеспечение защиты вычислительных сетей;
контроль целостности и защищенности информационной инфраструктуры;
предотвращение утечек информации;
управление инцидентами защиты информации;
защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.
Документы должны содержать информацию, определяющую:
технологии подготовки, обработки, передачи и хранения ЭС и защищаемой информации на объектах информационной инфраструктуры;
состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности ЭС на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения СКЗИ и управления ключевой информацией СКЗИ;
план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с обменом ЭС;
лиц, допущенных к работе с СКЗИ, - пользователей криптографических ключей, АИБ, АКС;
2.1.3. Клиент при обмене ЭС в платежной системе Банка России с использованием СКЗИ должен обеспечивать выполнение требований, указанных в приложении 5 к настоящим Условиям.
2.1.4. Передача и прием ЭС осуществляются Клиентом с использованием АРМ обмена. АРМ обмена должен быть реализован с использованием программного комплекса, предоставляемого Банком России в соответствии с Условиями передачи ПО.
2.1.5. Клиент должен обеспечивать хранение входящих и исходящих ЭС, подписанных электронной подписью, не менее пяти лет.
2.1.6. При обмене ЭС при переводе денежных средств в рамках платежной системы Банка России Клиентом должна применяться электронная подпись, сертификат ключа проверки которой выдан Банком России.
Банк России и Клиент признают, что:
внесение изменений в ЭС после формирования электронной подписи дает отрицательный результат проверки подлинности электронной подписи;
формирование подлинной электронной подписи возможно только при использовании ключа электронной подписи владельца.
2.1.7. Клиент при обмене ЭС между Клиентом и Банком России должен руководствоваться Условиями управления криптографическими ключами, указанными в приложении 2 к настоящим Условиям.
2.1.8. Организационные меры и (или) технические средства защиты информации, используемые при обмене ЭС, применяются с учетом следующих требований.
Клиент должен обеспечивать защиту ЭС, подлежащих передаче (направлению) в платежную систему Банка России:
формированием ЭС и контролем реквизитов ЭС в соответствии с приложением 6 к настоящим Условиям, а также использованием двух усиленных электронных подписей для контроля целостности и подтверждения подлинности ЭС;
применением третьего варианта защиты, предусмотренного Альбомом ЭС;
шифрованием ЭС на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в государственном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель", утвержденном постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 18 марта 1999 года N 78 (далее - ГОСТ Р ИСО/МЭК 7498-1-99), с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;
применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности. <21>
--------------------------------
<21> Абзац шестой подпункта 2.1.8 пункта 2.1 настоящих Условий для клиентов полевых учреждений Банка России, которые не подключены к Транспортному шлюзу Банка России для обмена платежными и финансовыми сообщениями с Клиентами Банка России (ТШ КБР), и/или Клиентов Банка России, не являющихся кредитными организациями, вступает в силу с 01.01.2025.
2.1.9. Клиент должен информировать Банк России об инцидентах.
Информация об инцидентах должна направляться с использованием технической инфраструктуры (автоматизированной системы) Банка России.
В случае технической невозможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России информация должна направляться с использованием резервного способа взаимодействия. <22>
--------------------------------
<22> Клиенты полевых учреждений Банка России могут направлять информацию в Банк России через обслуживающее полевое учреждение Банка России (резервный способ взаимодействия).
Клиент должен информировать Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России в случае перехода на обмен ЭС с использованием ОМНИ при невозможности осуществлять обмен ЭС по каналам связи.
Клиент должен информировать Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России в случае перехода на обмен документами на бумажном носителе при невозможности осуществлять обмен ЭС по каналам связи и с использованием ОМНИ.
При возобновлении возможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России Клиент должен повторно направить информацию с использованием технической инфраструктуры (автоматизированной системы) Банка России.
Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия участников информационного обмена с Банком России размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://www.cbr.ru/information_security/fincert/.
2.2. В случае выявления инцидента Клиент вправе направить в Банк России обращение о приостановлении обмена ЭС в порядке, указанном в приложении 3 к настоящим Условиям.
2.3. Выполнение требований к защите информации подтверждается документами Клиента, в том числе содержащими информацию о проведении контроля за выполнением указанных требований, а также о датах проведения и результатах контроля. Документы Клиента подписываются руководителем Клиента либо уполномоченным им лицом и представляются по запросу Банка России <23> при проведении проверки выполнения требований к защите информации.
--------------------------------
<23> Способ представления информации указывается в запросе Банка России.
Клиент предоставляет возможность Банку России проводить проверки выполнения требований к защите информации, указанных в акте готовности Клиента к обмену ЭС с Банком России.
Клиент обязан устранять нарушения требований к защите информации, выявленные при проверке, в сроки, установленные в акте проверки Банка России.
Клиент обязан оформлять результаты устранения нарушений требований актом об устранении в письменном виде, направлять данный акт не позднее третьего рабочего дня после срока, установленного Банком России для устранения выявленных нарушений, одним из указанных ниже способов, доступных Клиенту (в случае если способ направления не указан в акте проверки):
с использованием личного кабинета;
письмом на бумажном носителе, подписанным руководителем Клиента либо уполномоченным лицом (при отсутствии возможности направления способами, указанными выше).
До начала обмена ЭС Клиент представляет в подразделение Банка России, обслуживающее счет Клиента, акт о готовности Клиента к обмену ЭС с Банком России, форма которого приведена в приложении 1 к настоящим Условиям, одним из указанных ниже способов, доступных Клиенту:
с использованием личного кабинета;
письмом на бумажном носителе, подписанным руководителем Клиента (иным лицом, имеющим право действовать от имени Клиента) (при отсутствии возможности направления способами, указанными выше).
В случае внесения каких-либо изменений, в том числе в состав ответственных лиц, указанных в приложениях к акту о готовности Клиента к обмену ЭС с Банком России, Клиент обязан представить в подразделение Банка России, обслуживающее счет Клиента, актуальную информацию не позднее следующего рабочего дня после внесения изменений одним из указанных ниже способов, доступных Клиенту:
с использованием личного кабинета;
письмом на бумажном носителе, подписанным руководителем Клиента (иным лицом, имеющим право действовать от имени Клиента) (при отсутствии возможности направления способами, указанными выше).
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей